【网络安全】服务间身份认证与授权模式
未经许可,不得转载。
文章目录
- 问题背景
- 用户到服务的身份认证与授权
- 系统对系统的通信
- 服务与服务之间的通信
- 需求分析
- Basic Auth(基本身份认证)
- 优点
- 缺点
- mTLS 证书认证
- 优点
- 缺点
- OAuth 2.0
- 优点
- 缺点
- JWS(JSON Web Signature)
- 优点
- 缺点
- 结合 Open Policy Agent 的 JWS 方案
- 优点
- 缺点
- 结论
文章目录
- 问题背景
- 用户到服务的身份认证与授权
- 系统对系统的通信
- 服务与服务之间的通信
- 需求分析
- Basic Auth(基本身份认证)
- 优点
- 缺点
- mTLS 证书认证
- 优点
- 缺点
- OAuth 2.0
- 优点
- 缺点
- JWS(JSON Web Signature)
- 优点
- 缺点
- 结合 Open Policy Agent 的 JWS 方案
- 优点
- 缺点
- 结论
问题背景
当代后端软件架构由多种应用与服务组成,其整体结构复杂多变。
为满足业务需求,应用或服务之间需要频繁地进行通信。如何保障这些通信的安全性,并识别通信双方的身份及其访问权限,并非易事。
近年来,多家知名机构频繁发生网络安全事件,这给架构师、系统设计者与软件工程师带来了更大的压力,促使他们在设计阶段投入更多精力,力求从一开始就解决安全问题,并在各层系统中引入安全控制机制,落实“纵深防御”理念。
由于系统中存在多种类型的应用与资源,使得问题的复杂度进一步上升。通信模式的多样化(如服务对服务、系统对系统等)也增加了安全设计的挑战。
本文旨在探讨服务间身份认证与授权的问题域,并总结应对该问题的常见方案。
在此之前,有必要先简要回顾其他类型的身份认证与授权场景,以帮助理解服务间身份认证与授权的独特性。
用户到服务的身份认证与授权
典型的用户到服务的身份认证